[原创]x64 Kernel 获取Ntos Base(无API非ASM)

2021-4-16 11:33 8910

[原创]x64 Kernel 获取Ntos Base(无API非ASM)

淡然他徒弟

2021-4-16 11:33

8910

参考自单总发的帖子 : 帖子传送门 作者: @xiaofu

原理如上贴

优点:
用代码写方便维护(?)
不用添加一个.asm文件 (一个算不上优点的优点)

缺点:
体积不够小

上代码:

uintptr_t get_ntos_base()
 
{
 
    auto Idt_base = reinterpret_cast<uintptr_t>(KeGetPcr()->IdtBase);
 
    auto align_page = *reinterpret_cast<uintptr_t*>(Idt_base + 4) >> 0xc << 0xc;
 
    for (; align_page; align_page -= PAGE_SIZE)
 
    {
 
        for (int index = 0; index < PAGE_SIZE - 0x7; index++)
 
        {
 
            auto current_address = static_cast<intptr_t>(align_page) + index;
 
            if (*reinterpret_cast<uint8_t*>(current_address) == 0x48
 
                && *reinterpret_cast<uint8_t*>(current_address + 1) == 0x8D
 
                && *reinterpret_cast<uint8_t*>(current_address + 2) == 0x1D
 
                && *reinterpret_cast<uint8_t*>(current_address + 6) == 0xFF)//48 8d 1D ?? ?? ?? FF
 
            {
 
                auto nto_base_offset = *reinterpret_cast<int*>(current_address + 3);
 
                auto nto_base_ = (current_address + nto_base_offset + 7);
 
                if (!(nto_base_ & 0xfff))
 
                {
 
                    return nto_base_;
 
                }
 
            }
 
        }
 
    }
 
    return 0;
 
}

用处：拿到nto_base以后可以自己检索导出表,获取函数地址,全程均无API调用(防止被人挂钩导入表黑盒分析) 等...

注

如果写错了或者觉得哪里写的不好望指正~

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

最后于 2021-4-16 11:55 被淡然他徒弟编辑，原因：

#调试逆向 #系统底层 #其他内容

收藏・13

点赞・4

打赏

最新回复 (6)
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 119 回帖 617 粉丝 254 关注私信	xiaofu 8 2021-4-16 14:15 2 楼 0 配合spoof call,无解
淡然他徒弟雪币： 5860 活跃值： (4427) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 197 粉丝 99 关注私信	淡然他徒弟 1 2021-4-16 16:08 3 楼 0 xiaofu 配合spoof call,无解偶像回复了单总奥利给最后于 2021-4-16 16:09 被淡然他徒弟编辑，原因：
tmflxw 雪币： 659 活跃值： (2592) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 109 粉丝 18 关注私信	tmflxw 2021-4-20 22:12 4 楼 0 win7 x64直接挂掉
淡然他徒弟雪币： 5860 活跃值： (4427) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 197 粉丝 99 关注私信	淡然他徒弟 1 2021-4-21 04:13 5 楼 0 tmflxw win7 x64直接挂掉我测试是没问题的哈~ 蓝屏建议你把dump发上来或者检查自己的代码或者自己双机调试确定问题~ 最后于 2021-4-21 04:15 被淡然他徒弟编辑，原因：
WindBlow小迪雪币： 16 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	WindBlow小迪 2021-4-26 20:59 6 楼 0 Win10上会有问题 ntoskrnl.exe区域会存在无效内存
淡然他徒弟雪币： 5860 活跃值： (4427) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 197 粉丝 99 关注私信	淡然他徒弟 1 2021-4-27 02:07 7 楼 0 WindBlow小迪 Win10上会有问题 ntoskrnl.exe区域会存在无效内存如果有问题请提供你的dump哦~ win7 win10我都测试过了正常情况下都没有问题~ 非正常情况我暂时没遇到过~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

淡然他徒弟

发帖

197

回帖

160

RANK

关注

私信

他的文章

[原创]2023南极动物厂高校决赛之决赛附加题

[原创]x64 Kernel 获取Ntos Base(无API非ASM)

[原创]2021南极动物厂游戏高赛竞赛决赛分析02

[原创]2021南极动物厂游戏高赛竞赛决赛分析01

[原创]2020KCTF重返地球writeup

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 119 回帖 617 粉丝 254 关注私信	xiaofu 8 2021-4-16 14:15 2 楼 0 配合spoof call,无解
淡然他徒弟雪币： 5860 活跃值： (4427) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 197 粉丝 99 关注私信	淡然他徒弟 1 2021-4-16 16:08 3 楼 0 xiaofu 配合spoof call,无解偶像回复了单总奥利给最后于 2021-4-16 16:09 被淡然他徒弟编辑，原因：
tmflxw 雪币： 659 活跃值： (2592) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 109 粉丝 18 关注私信	tmflxw 2021-4-20 22:12 4 楼 0 win7 x64直接挂掉
淡然他徒弟雪币： 5860 活跃值： (4427) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 197 粉丝 99 关注私信	淡然他徒弟 1 2021-4-21 04:13 5 楼 0 tmflxw win7 x64直接挂掉我测试是没问题的哈~ 蓝屏建议你把dump发上来或者检查自己的代码或者自己双机调试确定问题~ 最后于 2021-4-21 04:15 被淡然他徒弟编辑，原因：
WindBlow小迪雪币： 16 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	WindBlow小迪 2021-4-26 20:59 6 楼 0 Win10上会有问题 ntoskrnl.exe区域会存在无效内存
淡然他徒弟雪币： 5860 活跃值： (4427) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 197 粉丝 99 关注私信	淡然他徒弟 1 2021-4-27 02:07 7 楼 0 WindBlow小迪 Win10上会有问题 ntoskrnl.exe区域会存在无效内存如果有问题请提供你的dump哦~ win7 win10我都测试过了正常情况下都没有问题~ 非正常情况我暂时没遇到过~
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复